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(57) Abstract: The invention concerns signature scheme methods whereof the security is based on the discrete logarithm problem, 
a first scheme for total recovery of the message, a second scheme for partial recovery of the message. The invention also concerns 
two techniques for reducing to a minimum the total size of the message to be transmitted and of the signature. The first technique 
consists in including part of the message inside the signature by appropriately selecting the random data used when the signature 
is generated. The second technique consists in eliminating part of the octets representing the signature, the total recovery of the 
signature being obtained during the second verification phase. Said schemes and said two techniques aim at reducing the overall size 
of the signature and of the message to be transmitted. They are therefore particularly designed to be used on portable media such as 
smart cards. 

(57) Abrege: L' invention consiste en des proce'des de schema de signature dont la securite' est basee sur le probleme du logarithme 
discret, un premier schema permettant une reconstitution totale du message, un deuxieme sche'ma permettant une reconstitution 
partieUe du message. L* invention consiste Cgalement en deux techniques permettant de roinimiser la taille totale du message a trans- 
mettre et de la signature. La premiere technique consiste a inclure une partie du message a rinterieur de la signature en choisissant 
convenablement les donnees aldatoires utilisees lors de la generation de la signature. La deuxieme technique consiste a supprimer 
une partie des octets represemant la signature, la reconstitution complete de la signature s'effectuant durant la phase de verification. 
Ces schemas et ces 2 techniques ont pour but de re'duire la taille totale de la signature et du message a trans me ttre. lis sont done 
particulierement destines a €tre utilises sur des supports portables de type carte a puce. 



WO 01/10078 PCT/FR00/02024 

SCHEMAS DE SIGNATURE A BASE DE 
LOGARITHME DISCRET AVEC RECONSTITUTION 
PART TELLE OU TOTALE DU MESSAGE 

L' invention consiste en deux nouveaux schemas de 
signature electronique bases sur le probleme du 
logarithme discret, le premier permettant la 
r econ s t i t u t i on totale du message, le second permettant 
la r econ s t i t u t i on partielle du message, ainsi que deux 
techniques permettant de reduire la taille des 
signatures electroniqu e.^s . 

Une signature electronique d'un message est un 
nombre dependant a la fois d'une cle secrete connue 
seulement de la personne sighant le message, ainsi que 
du contenu du message a signer. Une signature 
electronique doit etre verifiable : il doit etre 
possible pour une tierce personne de verifier la 
validite de la signature, sans que la connaissance de 
la cle secrete de la personne signant le message ne 
soit requise. 

II existe deux types de schema de signature 
electronique : 

- Schemas de signature electronique necessitant le 
message original pour la verification de la signature. 



Schemas de signature electronique avec 
recons t itution du message. Le message original est 
obtenu d'apres la signature elle-meme. Le message 
original n'etant pas necessaire pour verifier la 
signature,, la taille totale de la signature est plus 
cou r t e . 



II existe de nombre ux procedes de signature 
electronique. Les plus connus sont : 
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Schema de signature RSA : c'est le schema de 

signature electronique le plus largement utilise. Sa 

securite est basee sur la difficulte de la 
factorisation de grands nombres ; 

- Schema de signature Rabin. Sa securite est aussi 
basee sur la difficulte de la factorisation de grands 
nombres ; 



10 - Schema de signature de type El-Gamal. Sa 

securite est- basee sur la difficulte du probleme du 
logar'ithme discret. Le probleme du logarithme discret 
consiste a determiner, s'il existe, un entier x tel 
que y = g x avec y et g deux elements d' un ensemble E 

15 possedant une structure de groupe ; 



Schema de signature Schnorr. II s'agit d'une 
variante du schema de signature de type El-Gamal. 



20 II existe une autre variante du schema de 

signature de type El-Gamal permettant la 

recons titu t ion totale du message, appelee schema de 
signature Nyberg et Rueppel. Ce schema est decrit dans 
1' article " A new signature scheme based on the DSA, 

2 5 giving message recovery " paru dans " Proceedings of 
the first ACM conference on communications and 
computer security, 1993, 58-61 ". Une variante de 
schema a -base de courbe elliptique est decrite dans le 
document " IEEE P1363 draft. Standard specifications 

30 for public key cryptography. August 1998 ". Cette 
variante utilise une fonction de redondance R , une 
courbe elliptique formant une structure de groupe dont 
l'element zero est note O et un point G de la courbe, 
lequel point G est generateur d'un sous-groupe d'ordre 
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un nombre premier r. La cle privee est un en.tier 
positif s inferieur a r et la cle publique est le 
point W=s.G, la notation s.G designant la somme, au 
sens de l'addition de la courbe elliptique, de s 
5 points pris egaux a G. Le precede de generation de la 
signature d' un message m comporte les cinq etapes 
suivantes : 

1) Generer un nombre aleatoire u compris entre 0 
10 et r-1 et calculer V=u.G ; 

2) Calculer i'entier f=R(m) ; 

3) Associer au point V un entier i et calculer 
c=i+f modulo r ; retourner a 1'etape 1) si c=0 ; 

4) Calculer d=u-s*c modulo r ; 

15 5) La signature est la paire d'entiers (c,d). 

Le procede de verification de la signature 
comporte les quatre etapes suivantes : 

20 1) Si c n'appartient pas a l'intervalle [l,r-l] ou 

si d n'appartient pas a l'intervalle [0,r-l] r la 
signature n'est pas valide ; 

2) Calculer le point P = d.G + c.W; si P^O, la 
signature n'est pas valide ; 

25 3) Associer au point P I'entier i et calculer 

I'entier f=c-i modulo r ; 

4) Retrouver le message m a partir de f et 
verifier que f = R(m) ; si oui, la signature du message 
m est valide ; sinon, la signature n'est pas valide. 



30 



Le premier procede de 1' invention consiste en une 
autre variante d'un schema de signature de type El- 
Gamal. Cette variante permet la r e con s t i t u t i on totale 
du message. La variante est decrite dans le cadre de 
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1' utilisation de courbes elliptiques. II est cependant 
possible d'utiliser cette variante dans tout ensemble 
possedant une structure de groupe pour lequel le 
probleme du logarithme discret est difficile, par 
exemple le groupe raultiplicatif des entiers modulo un 
nombre premier ou le sous-groupe mu 1 t i pi i ca t i f d'ordre 
un grand nombre premier r des entiers modulo un nombre 
premier p avec r divisant p-1. Cette variante utilise 
une fonction de redondance R, une courbe elliptique 
formant une structure de groupe. dont 1' element zero 
est note O et un point G de la courbe, lequel point G 
est generateur d'un sous-groupe d'ordre un nombre 
premier r. La cle privee est un entier positif s 
inferieur a r et la cle publique est le point W = s.G. 
Cette variante utilise une constante entiere k non 
nulle. Le precede de generation de la signature 
comporte les quatre etapes suivantes : 

1) Generer un nombre aleatoire u compris entre 1 
20 et r-1 et calculer V=u.G ; 

2) Associer au point V un entier i et calculer 
c=i+f modulo r ; si c=0, retourner a l'etape 1) ; 

3) Calculer l'entier d = u " 1 * ( k + s * c ) modulo r ; si 
d=0, retourner a l'etape 1) ; 

4) La signature est la paire d'entiers (c,d). 



15 



25 



30 



Le procede cor r e s ponda n t de verification de la 
signature comporte les six etapes suivantes : 

1) Si c n'appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [l,r-lj, la 
signature n'est pas valide ; 

2) Calculer les entiers h= d" 1 modulo r, hi=k*h 
modulo r et h 2 =c + h modulo r ; 
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3) Calculer le point P = hiG+ h 2 W; si P = 0, la 
signature n' est pas valide ; 

4 ) Associer au point P un entier i ; 

5) Calculer 1' entier f=c-i modulo r ; 
5 6) Retrouver le message m a partir de f et 

verifier que f=R(m) ; si oui, la signature du message 
m est valide ; sinon, la signature n'est pas valide. 

Le procede precedemment decrit permet done 

10 d'obtenir un schema de signature electronique dont la 
securite est basee sur la dif f iculte du probleme du 
logarithme discret et permettant la r e con s t i t u t i on 
totale du message. 

L' invention comprend egalement un second procede 

15 de signature electronique permettant la r e con s t i t u t i on 
partielle du message. Le schema de signature decrit 
precedemment permet la r econs t i t ut ion totale du 
message. Cependant, la taille totale du message a 
signer est limitee par la taille des arguments de la 

20 fonction de redondance R. Le second procede de 
1' invention permet de signer un message d'une taille 
quelconque. Le message m a signer est divise en 2 
parties: la premiere partie m x de taille constante est 
reconstitute a partir de la signature, la deuxieme 

25 partie m 2 est transmise avec la signature, du message. 
La taille totale de la signature et du message a 
transmettre est done diminuee de la taille de la 
partie m x \ Le schema de signature est decrit dans le 
cadre de 1 ' u t i 1 i s a t i on de courbes elliptiques. II est 

30 cependant possible d'utiliser ce schema dans tout 
ensemble possedant une structure de groupe pour lequel 
le probleme du logarithme discret est difficile, par 
exemple le groupe mu 1 t i p 1 i c a t i f des entiers modulo un 
nombre premier ou le sous-groupe multiplica tif d'ordre 
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un grand nombre premier r des entiers modulo un nombre 
premier p avec r divisant p-1- Le schema de signature 
utilise une fonction de redondance R, une courbe 
elliptique formant une structure de groupe dont 
5 1' element zero est note O et un point G de la courbe, 
lequel point G est generateur d' un sous-groupe d'ordre 
un nombre premier r. La cle privee est un entier 
positif s inferieur '"a r et la cle publique est le 
point W=s.G. Le procede de generation de la signature 
10 d' un message m constitue des messages m a et m 2 comporte 
les six etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V = u . G ; 
15 2) Calculer fi-R(mi) ; 

3) Associer au point V un entier i et calculer 
c=i+ fi modulo r / si c = 0 , retourner a l'etape 1 ; 

4) Calculer f 2 =H(m 2 ), oil H est une fonction de 
hachage ; 

20 5) Calculer 1'entier d = u ~ 1 * ( f 2 + s * c ) modulo r ; si 

d = 0 , retourner a l'etape 1 ; 

6) La signature est le couple d'entiers (c,d) . 

Le procede de verification de la signature prend 
25 en entree une paire d'entiers (c,d) et le message 
partiel m 2 et comprend les sept etapes suivantes : 

1) Si c n'appartient pas a 1' interval. le [l,r-l] ou 
si d n'appartient pas a l'intervalle [l,r-l], la 

30 signature n'est pas valide ; 

2) Calculer f 2 = H(m 2 ), ou H est une fonction de 
hachage ; 

3) Calculer les entiers h= d" 1 modulo r, hi= f 2 *h 
modulo r et h 2 =c + h modulo r ; 
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4 ) Calculer le point P= h l G+ h 2 W ; si P = O , la 
signature n' est pas valide ; 

5) Associer au point P 1'entier i ; 

6) Calculer 1'entier fi=c-i modulo r ; 

5 7) Obtenir le message mi a partir de fi et verifier 

que f i = R (mi ) ; si o u i , la signature du message m est 
valide ; sinon, la signature n' est pas valide. 

Le procede precedemment decrit permet done 

10 d' obtenir un schema de signature electronique dont la 
securite est basee sur la difficulte du logarithme 
discret et permettant la r econs t i t ution partielle du 
message. L'interet d' un tel schema est de diminuer la 
taille totale de la signature et du message a 

15 t ransmett re sans toutefois imposer de contrainte de 
taille a ce message. 

L' invention consiste egalement en deux techniques 
generales permettant de minimiser la taille totale de 
la signature et du message a transmettre. La premiere 

20 technique consiste a inclure une partie du message a 
l'interieur de la signature en choisissant 

con venabl emen t les donnees aleatoires utilisees lors 
de la generation de la signature. La deuxieme 
technique consiste a supprimer une partie des octets 

25 representant la signature, la r e c on s t i t u t i on complete 
de la signature s'effectuant durant la phase de 
ve r ification . 

Le troisieme procede de 1' invention- consiste en 
une amelioration du schema de signature de Nyberg- 
30 Rueppel rappele precedemment, et consiste a inclure 
une partie du message de taille t octets dans 1'entier 
d defini precedemment, t etant un entier petit. Dans 
ce procede, les t octets de poids faible de 1'entier d 
contiennent t octets du message. Le troisieme procede 
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de l'invention permet done d' augmenter de t octets la 
taille du message a signer par rapport au schema de 
signature de N y be r g - Rue ppe 1 decrit precedemment . Le 
troisieme procede utilise une fonction de redondance 
5 R, une courbe elli'ptique formant une structure de 
groupe dont 1' element zero est note O et un point G de 
la courbe, lequel point G est generateur d'un sous- 
groupe d'ordre un no'mbre premier r. La cle privee est 
un entier positif s inferieur a r et la cle publique 
10 est le point W = s . G . Le procede de generation de la 
signature d'un message m comporte les cinq etapes 
sui van tes : 

1) Enlever les t octets de poids faible du message 
15 m et memoriser le resultat dans m' ; calculer 

f =R (m' ) ; 

2) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer V = u . G ; 

3) Associer au point V un entier i et calculer 
2 0 c=i+f modulo r ; retourner a l'etape 1) si c=0. 

4) Calculer l'entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2 8t retourner a l'etape 2) ; 

5) La signature est le couple d'entiers (c,d) . 

25 Le procede de verification de la signature 

comporte les cinq etapes suivantes : 

1) Si c n'appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [ 0 , r - 1 ] , la 

30 signature n'est pas valide ; 

2) Calculer. le point P = d.G + c.W; si P = 0, la 
signature n'est pas valide ; 

3) Associer au point P l'entier i; 

4) Calculer l'entier f=c-i modulo r ; 



BNSDOCID <WO 011007BA1_I_> 



WO 01/10078 



9 



PCT/FR00/02024 



5) Obtenir le message m' a partir de f et verifier 
que f = R ( m ' ) ; si ce n'est pas le cas, la signature 
n'est pas valide ; si c'est le cas, la signature est 
valide et le message m est la concatenation au message 
m' des t octets de poids faible de l'entier d. 

II est possible d'effectuer un pre- t r a i temen t des 
donnees permettant d'accelerer la generation des 
signatures selon le schema de signature decrit 
precedemmen t . Le procede de pr e-t rai temen t prend en 
entree la cle "secrete s et consiste a mettre en 
memoire dans une table un grand nombre de valeurs (i, 
x u ) avec x u =u-s*i modulo r et i etant l'entier associe 
au point V=u.G, de telle sorte que ces valeurs 
puissent etre accedees par le reste de x u modulo 2 8t . 
Le procede de generation de signature avec pre- 
traitement des donnees utilise une fonction de 
redondance R, une courbe elliptique formant une 
structure de groupe dont 1' element zero est note O et 
un point G de la courbe, lequel point G est generateur 
d'un sous-groupe d'ordre un nombre premier r. La cle 
privee est un entier positif s inferieur a r et la 
cle publique est le point W-s.G. 

Le procede de generation de signature avec pre- 
traitement des donnees comporte les huit etapes 
suivantes: 

1) Enlever les t octets de poids faible du message 
m et memoriser le resultat dans le message m' ; 
calculer f=R(m'). Les t octets de poids faible du 
message m sont memorises dans l'entier 6 ; 

2) Calculer l'entier y=s*f modulo r et l'entier 
X=y modulo 2 8t ; 



0tl0076AlJ_ 



t 

WO 01/10078 



PCT/FROO/02024 



10 



3) Si y<r/2, executer d'abord 1'etape A et ensuite 
1'etape 5 ; sinon executer d'abord 1'etape 5 et 
ensuite 1'etape A ; 

4) Acceder aux elements de la table dont le reste 
5 modulo 2 8t est X, + 5 modulo 2 8t et selectionner un element 

tel que x u est superieur ou e g a 1 a y ; si un tel 
element existe, il est supprime de la table et le 
procede passe a 1'etape 6) ; 

5) Acceder aux elements de la table dont le reste 
10 modulo 2 8t est A. + 5+r modulo 2 8t .et selectionner un 

element tel que x u est inferieur a y ; si un tel 
element existe, il est supprime de la table et le 
procede passe a 1'etape 6) 

6) Calculer l'entier d= x u -y modulo r ; 

15 7) Obtenir l'entier i associe a x u et calculer 

c=i+f modulo r ; 

8) La signature est le couple d'entiers (c,d) . 

Le quatrieme procede de 1'invention consiste en 
20 une amelioration du schema de signature a base de 
logarithme discret avec r e c on s t i t u t i on partielle du 
message decrit precedemment . Le quatrieme procede de 
1'invention consiste a inclure une partie du message 
de taille t octets dans l'entier d defini 
25 precedemment, t etant un entier petit. Dans ce 
procede, les t octets de poids faible de l'entier d 
contiennent t octets du message. Le quatrieme procede 
de l'inve'ntion permet done de diminuer de t octets la 
taille totale de la signature et du message a 
30 • transmettre. Le schema de signature utilise une 
fonction de redondance R, une courbe elliptique 
formant une structure de groupe dont 1' element zero 
est note O et un point G de la courbe, lequel point G 
est generateur d'un sous-groupe d'ordre un nombre 
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premier r. La cle privee est un entier positif s 
inferieur a r et la cle publique est le point W = s.G. 
Le procede de generation de la signature d' un message 
m constitue des messages mi et jt\2 comporte les six 
etapes suivantes: 



1) Generer un entier aleatoire u compris entre 1 
et r-let calculer V=uvG ; 

2) Calculer fi=R(mi) ; 

3) Associer au point V un entier i et calculer 
c=i+ f ! modulo r ; si c = 0 , retourner a l'etape 1 ; 

4) Calculer f 2 = H(m 2 ), ou H est une fonction de 
hachage ; 

5) Calculer l'entier d = u~ x *( f 2 +s*c) modulo r ; si 
d=0 ou si d n'est pas egal a m 2 modulo 2 8t , retourner a 
l'etape 1 ; 

6) La signature est le couple d'entiers (c,d). et 
le message a transmettre est m' 2 consistant en m 2 prive 
de ses t octets de poids faible. 



Le procede de verification de la signature prend 
en entree une paire d'entiers (c,d) et le message 
partiel m' 2 et comprend les huit etapes suivantes : 



1) Si c n'appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [l,r-l], la 
signature n'est pas valide ; 

2) Completer m' 2 en m 2 en lui ajoutant les t octets 
de poids faible de d ; 

3) Calculer f 2 = H(m 2 ), ou H est une fonction de 
hachage ; 

4) Calculer les entiers h= d" 1 modulo r, hi= f 2 *h 
modulo r et h 2 =c*h modulo r ; 
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5) Calculer le point P= hiG+ h 2 W ; si P = 0, la 
signature n' est pas valide ; 

6) Associer au point P l'entier i ; 

7) Calculer l'entier f^c-i modulo r ; 

5 8) Obtenir le message mi a partir de fi et verifier 

que fi = R(mi) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide ; 

Le cinquieme procede de 1' invention consiste a 
10 supprimer t octets de la. chaine d'octets representant 
l'entier d lorsque la signature est le couple 
d'entiers (c,d). Ce procede s'applique au schema de 
signature de Nyberg et Rueppel ainsi qu'au schema de 
signature avec r econs t i tu t ion partielle du message 
15 precedemment decrit . Le procede modifie de generation 
de signature comporte les deux etapes suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature de Nyberg et Rueppel ou le 

20 schema de signature avec r e c on s t i t u t i on partielle du 
message precedemment decrit, pour obtenir le couple 
d'entiers (C/d); 

2) Calculer d', quotient entier de la division de 
l'entier d par 2 8t . La signature est le couple 

25 d' entiers (c, d' ) . 

Le procede modifie de verification de signature 
prend en , entree un couple (c,d') et un message m 2 et 
comporte les 2 etapes suivantes dans le cas de 
30 1' utilisation du schema de signature avec 

reconsti tution partielle du message precedemment 
deer i t : 
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1) Pour i allant de 0 a 2 8t -l, calculer l'entier 
d=d'*2 8t +i et executer le procede de verification de 
signature avec r econ s t i t u t i on partieile du message 
precedemment decrit, la signature a verifier etant 
(c,d) ; si le procede de verification de signature 
reconnait la signature <c,d) comme valide, la 
signature est valide, et le procede est termine ; 

2) Si l'etape 1)- n ' a pas abouti, la signature 
n'est pas valide. 

Dans le cas de 1 ' u t i 1 i s a t i on du schema de 
signature de Nybe r g-Rueppe 1 , le precede de 

verification de signature prend en entree un couple 
(c,d') et comporte les cinq etapes suivantes : 



1) Si c n'appartient pas a l'intervalle [l,r-l], 
la signature n'est pas valide ; 

2) Calculer le point P = d ' * 2 8 1 . G + c . W ; 

3) Pour j allant de 0 a 2 8t -l, executer les etapes 
20 su i van t e s : 

3)a) Si P = 0, executer l'etape 3)d) ; 

3)b) Associer au point P l'entier i et 
calculer l'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
25 verifier que f = R(m) ; si oui, executer l'etape 

5) ; 

3)d) Remplacer P par P+G ; 

4) La- signature n'est pas valide et le procede est 
termine ; 

30 5} Si l'entier d = d'*2 9t +j n'appartient pas a 

l'intervalle [0,r-l], la signature n'est pas valide ; 
sinon la signature est valide et le procede est 
termine . 
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Le sixieme precede de 1' invention consiste en une 
modification du schema de signature de Nyberg et 
Rueppel permettant d'augmenter de t octets la taille 
des messages a signer, t etant une variable entiere. 
5 Le sixieme precede utilise une fonction de redondance 
R, une courbe elliptique formant une structure de 
groupe dont 1' element zero est note O et un point G de 
la courbe, lequel point G est generateur d'un sous- 
groupe d'ordre un nombre premier r.' La cle privee est 
10 un entier positif s inferieur a r et la cle publique 
est le point W='s . G. Le prbcede de generation de la 
signature d'un message m comporte les cinq etapes 
suivantes : 

15 1) Generer un nombre aleatoire u et calculer 

V=u.G ; 

2) Obtenir le message m' en enlevant au message m 
les t octets de poids faible et calculer f = R ( m ' ) 

3) Associer au point V un entier i et calculer 
20 c=i+f modulo r ; retourner a l'etape 1) si c=0 ou si i 

n'est pas egal a m modulo 2 Bt ; 

4) Calculer d-u-s*c modulo r ; 

5) La signature est la paire d'entiers (c,d) . 

25 Le procede de verification de la signature 

comporte les quatre etapes suivantes : 

1) Si c n'appartient pas a 1'intervalle [ 1 , r - 1 ] ou 
si d n'appartient pas a 1'intervalle [0,r-l], ,1a 

30 signature n'est pas valide ; 

2) Calculer le point P = d . G + c . W ; si P=0, la 
signature n'est pas valide ; 

3) Associer au point P 1' entier i et calculer 
1' entier f=c-i modulo r ; 
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4) Retrouver le message m' a partir de f et 
verifier que f = R(m') ; si oui, retrouver le message m 
en concatenant au message m' les t octets de poids 
faible de i. La signature du message m est alors 
5 valide ; sinon, la signature n' est pas valide. 

Le septieme precede de 1' invention consiste en une 
modification du -schema de signature avec 

r econ s t i t u t i on partielle du message precedemment 

10 decrit permettant d'augmenter de t octets la taille du 
message mi recon'stitue a partir de la signature, t 
etant une variable entiere. Le septieme procede 
utilise une f onction de redondance R, une courbe 
elliptique formant une structure de groupe dont 

15 1' element zero est note O et un point G de la courbe, 
lequel point G est generateur d'un sous-groupe d'ordre 
un nombre premier r. La cle privee est un entier 
positif s inferieur a r et la cle publique est le 
point W=s.G. Le procede de generation de la signature 
20 d'un message m, constitue de deux .messages mi et ni2, 
comporte les six etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 
25 2) Obtenir m' i en enlevant au message mi les t 

octets de poids faible. Calculer fi=R(m'i) 

3) Associer au point V un entier i et calculer 
c = i+ fj modulo r ; si c = 0 ou si i n'est pas egal a mi 
modulo 2 8t , retourner a 1'etape 1 ; 
30 4 ) Calculer f 2 = H(m 2 ), ou H est une fonction de 

hachage ; 

5) Calculer rentier d = u~ x *( f 2 +s*c) modulo r ; si 
d=0, retourner a 1'etape 1 ; 

6) La signature est le couple d'entiers (c,d) . 
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Le procede de verification de la signature prend 
en entree une paire d'entiers (c,d) et le message 
partiel m 2 et comprend les sept etapes suivantes : 

5 

1) Si c n'appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [1, r-1] , la 
signature n' est pas valide ; 

2) Calculer f 2 =H(m 2 ) , ou H est une fonction de 
10 hachage ; 

3) Calculer- -les entiers' h= d" 1 modulo r, hi= f 2 *h 
modulo r et h 2 =c*h modulo r ; 

4) Calculer le point P = hiG+ h 2 W; si P = 0, la 
signature n'est pas valide. 

15 5) Associer au point P l'entier i ; 

6) Calculer l'entier fi=c-i modulo r ; 

7) Obtenir le message rn'i a partir de f i et 
verifier que fi = R(m'i) ; si oui, obtenir mi en 
concatenant au message rn'i les t octets de poids faible 

20 de l'entier i. La signature du message m est alors 
valide ; sinon, la signature n'est pas valide. 

II est possible pour les sixiemes et septiemes 
procedes de diminuer les temps de calcul en effectuant 
25 des pre-traitements . Ces pr e - t r a i t erne n t s consistent a 
mettre en memoire dans une table des couples d'entiers 
(u,i) tels que definis precedemment de telle sorte que 
ces entiers soient accessibles par la valeur de i 
modulo 2 8t . 

30 Le huitieme procede de 1' invention consiste en une 

modification du schema de signature de Nyberg et 
Rueppel consistant a enlever t octets a l'entier c 
precedemment defini, t etant une variable entiere. Le 
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procede de generation de signature comporte les deux 
etapes suivantes : 

1) Generer la signature du message m en utilisant 
le schema de signature de N y be r g - Ru eppe 1 pour obtenir 
le couple d'entiers { c , d ) 

2) Calculer c', quotient entier de la division de 
l'entier c par 2 8t . La signature est le couple 
d ' en t i e r s ( c ' , d ) . 

Le procede -de verification de signature prend en 
entree le couple d'entiers (c',d) et comporte les cinq 
etapes suivantes : 

15 1) Si d n'appartient pas a l'intervalle [0,r-l], 

la signature n'est pas valide ; 

2) Calculer le point P=d.G+c'* 2 8t .W ; 

3) Pour j allant de 0 a 2 8t -l, executer les etapes 
suivantes : 

20 3)a) Si P = 0, executer l'etape 3)d) ; 

3)b) Associer au point P l'entier i et 
calculer l'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
verifier que f=R(m) ; si oui, executer l'etape 
25 5) ; 

3)d) Remplacer P par P+W ; 

4) La signature n'est pas valide et le procede est 
termine ; 

5) Si l'entier c=c'*2 8t +j n'appartient pas a 
30 l'intervalle [l,r-l], la signature n'est pas valide ; 

sinon la signature est valide et le procede est 
termin e . 
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Le neuvieme procede de 1' invention est une 
modification du schema de signature avec 

r e con s t i t u t i on partielle du message defini 

pr ecedemmen t , qui consiste a enlever t octets de 
l'entier c defini pr e c e demme n t , t etant une variable 
entiere. Le procede de generation de signature 
comprend les deux etapes suivantes : 

1) Generer la signature du message m, constitue de 
deux messages mi et m 2 , en utilisant le schema de 
signature avec reconstitution partielle du message 
pour obtenir le couple d'entiers {c,d) 

2) Calculer c ' quotient entier de la division de 
l'entier c par 2 8t . La signature est le couple 
d ' en t i er s ( c ' , d ) . 

Le procede de verification de signature prend en 
entree un couple d'entiers (c',d) et un message m 2 et 
comprend les huit etapes suivantes : 

1) Si d n'appartient pas a l'intervalle [l,r-l], 
la signature n'est pas valide ; 

2) Calculer f2 = H(m 2 ) , ou H est une fonction de 
h a c h a g e ; 

3) Calculer les entiers h= d" 1 modulo r, hi= f 2 *h 
modulo reth 2 = c'*2 8t+ h modulo r; 

4) Calculer le point P = hi.G+ h 2 .W ; 

5) Calculer le point Z=h.W ; 

6) Pour j allant de 0 a 2 8t -l, executer les etapes 
suivantes : 

6)a) Si P=0, executer l'etape 6)d) 

6)b) Associer au point P l'entier i et 
calculer l'entier fi=c-i modulo r ; 
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6)c) Retrouver le message mi a partir de f 2 et 
verifier que fi=R(mi) ; si oui, executer 1'etape 
8) ; 

6)d) Remplacer P par P + Z ; 
5 7) La signature n'est pas valide et le precede est 

t ermine ; 

8) Si l'entier c=c'*2 8t +j n'appartient pas a 
l'intervalle [l,r-l], -la signature n'est pas valide ; 
sinon la signature est valide et le procede est 
10 termine . 

Le dixieme procede de l'invention consiste en une 
modification du schema de signature avec 

reconsti tution partielle du message precedemment 
15 decrit, qui consiste a remplacer la signature (c,d) 
par la signature (h 2 ,d) avec h 2 = c*d~ 1 modulo r. 
L'avantage de ce dixieme procede est de permettre une 
reduction du temps de calcul lorsque ce procede est 
applique a 1 ' un quelconque des precedes definis 
20 precedemment . 

Le onzieme procede de l'invention consiste en une 
amelioration du schema de signature de Nyberg-Rueppel 
rappele precedemment, et consiste a inclure une partie 
du message de taille t octets dans l'entier d defini 
25 precedemment, t etant un entier petit, ainsi qu'a 
utiliser une autre fonction de redondance . Dans ce 
procede, les t octets de poids faible de l'entier d 
contiennent t octets du message. Le onzieme procede 
utilise une courbe elliptique formant une structure de 
groupe dont l'element zero est note O et un point G de 
la courbe, lequel point G est generateur d'un sous- 
groupe d'ordre un nombre premier r. La cle privee est 
un entier positif s inferieur a r et la cle publique 
est le point W=s.G. Le procede de generation de la 
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signature d'un message m utilise les parametres 
entiers t, a, et k et comporte les sept etapes 
sui vant es : 

5 1) Calculer h = H (m) , H etant une fonction de 

hachage ; 

2) Enlever les t octets de poids faible et les k 
octets de poids fort., du message m et memoriser le 
resultat dans m ' 
10 3) Memoriser dans f le resultat de la 

concatenation, a m ' • des a octets de poids fort de h ; 

4) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer- V=u.G ; 

5) Associer au point V un entier i et calculer 
15 c = i + f modulo r ; retourner a l'etape 4) si c=0 / 

6) Calculer 1' entier d=u-s*c modulo r ; si d n'est 
pas e g a 1 a m modulo 2 8t retourner a l'etape 4) 

7) La signature est le couple d'entiers (c,d) . 

20 Le procede de verification de la signature 

comporte les sept etapes suivantes : 

1) Si c n'appartient pas a l'intervalle [l r r-l] ou 
si d n'appartient pas a l'intervalle [0,r-l], la 

25 signature n'est pas valide ; 

2) Calculer le point P=d.G+c.W; si P = 0, la 
signature n'est pas valide ; 

3) Associer au point P 1' entier i ; 

4) Calculer 1' entier f = c-i modulo r ; 

30 5) Concatener au message m' obtenu a partir de f 

en enlevant les a octets de poids faible les t octets 
de poids faible de d ; 

6) Pour b allant de 0 a 2 8k -l repeter l'etape 
suivante: 
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6)a) Concatener a b le message m' pour obtenir 
m et calculer h=H(m) ; Verifier que les a octets 
de poids fort de h et les a octets de poids faible 
de f sont identiques ; si oui, la signature du 
5 message m est valide et le procede est termine ; 

7} La signature n'est pas valide. 

Les procedes decrits permettent done de reduire de facon 
significative la taille totale de la signature et du message a 

10 transmettre. Lorsque la place en memoire est limitee, il est 
ainsi possible de- ^stocker un plus grand nombre de signatures. 
En outre, il est egalement possible de realiser une 
transmission plus rapide des signatures. Ces procedes sont 
particulierement destinees a etre mises en place dans des 

15 dispositifs portables, par exemple de type carte a puce. 
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RE VEND I CATIONS 

1- Procede de signature electronique comprenant un 
procede de generation et un procede de verification 
permettant un r econ s t i t u t i on totale du message, ledit 
procede utilisant une fonction de redondance R, un 
5 ensemble possedant une structure de groupe d'ordre un 
nombre premier r, d' element zero note O et de 
generateur le point G,' la cle privee etant un entier 
positif inferieur a r, la cle publique etant le point 

W=s.G, ledit procede utilisant une constante entiere k 

■* * 

10 non nulle, caracterise en ce que le procede de 
generation de signature comporte les 4 etapes 
suivantes : 

1) Generer un nombre aleatoire u compris entre 1 
15 et r-1 et calculer V = u . G ; 

2) Associer au point V un entier i et calculer 
c=i+f modulo r ; si c=0, retourner a l'etape 1) ; 

3) Calculer l'entier d = u -1 *(k + s*c) modulo r ; si 
d=0, retourner a l'etape 1) ; 

20 4) La signature est la paire d'entiers (c,d) ; 

et en ce que le procede de verification de la 
signature comporte les 6 etapes suivantes : 

25 1) Si c n'appartient pas a l'intervalle [l,r-l] ou 

si d n'appartient pas a l'intervalle [l,r-l], la 

signature' n'est pas valide ; 

2) Calculer les entiers h= d" 1 modulo r, h! = k*h 

modulo r et h2=c*h modulo ; 
30 3) Calculer le point P= hiG+ h 2 W ; si P = 0, la 

signature n'est pas valide ; 

4) Associer au point P un entier i ; 

5) Calculer l'entier f=c-i modulo r ; 
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6) Retrouver le message m a partir de f et 
verifier que f = R(m) ; si oui, la signature du message 
m est valide ; sinon, la signature n' est pas valide. 

5 2- Procede de signature electronique comprenant un 
procede de generation et un procede de verification de 
signature permettant une r e con s t i t u t i on partielle du 
message, le message m a signer etant divise en deux 
parties, la premiere partie mi de taille constante 

10 etant reconstitute a partir de la signature, la 
deuxieme partie m 2 etant transmise avec la signature du 
message, ledit procede utilisant une fonction de 
redondance R, un ensemble possedant une structure de 
groupe d'ordre un nombre premier r, d' element zero 

15 note 0 et de generateur le point G, la cle privee 
etant un entier positif inferieur a r et la cle 
publique etant le point W=s.G, caracterise en- ce que 
le procede de generation de la signature d' un message 
m constitue des messages m x et m 2 comporte les 6 etapes 

20 s u i vant e s : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 

2) Calculer fi=R{mi) ; 

25 3) Associer au point V un entier i et calculer 

c=i+ fi modulo r; si c=0, retourner a I'etape 1 ; 

4) Calculer f 2 = H(m 2 ) , ou H est une fonction de 
hachage ; 

5) Calculer 1'entier d=u -1 *( f 2 +s*c) modulo r ; si 
30 d=0, retourner a I'etape 1 ; 

6) La signature est le couple d'entiers (c,d) ; 
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et en ce que le procede de verification de la 
signature prend en entree une paire d'entiers (c,d) et 
le message partiel m 2 et comprend les 7 etapes 
suivantes : 

5 

1) Si c n'appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [l,r-l], la 
signature n' est pas valide ; 

2) Calculef f f 2 = H(m 2 ) , 6u H est une fonction de 
10 hachage ; 

3) Calculer les entiers h= d" 1 modulo r, h x = f 2 *h 
modulo r et h 2 =c*h modulo r ; 

4) Calculer le point P= hiG+ h 2 W; si P=0, la 
signature n'est pas valide ; 

15 5) Associer au point P rentier i ; 

6) Calculer l'entier fi=c-i modulo r ; 

7) Obtenir le message mi a partir de fi et verifier 
que fi«R(mi) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide. 

20 

3- Procede de signature electronique comprenant un 
procede de generation et un procede de verification de 
signature caracterise en ce qu'il consiste a inclure 
une partie du message a l'interieur de la signature en 

25 choisissant con ven abl emen t les donnees aleatoires 
utili sees , lor s de la generation de la signature. 

4- Procede de signature electronique comprenant un 
procede de generation et un procede de verification de 

30 signature caracterise en ce qu'il consiste a supprimer 
une partie des octets representant la signature, la 
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recons ti t u t ion complete de la signature s' ef fectuant 
durant la phase de verification. 

5- Procede d' amelioration du schema de signature de 
Nyberg -Rueppel selon la r e ve nd i ca t i on 3 comprenant un 
procede de generation -et un procede de verification et 
consistant a inclure une partie du message de taille t 
octets dans 1'entier d, t etant un entier petit, la 
signature e tanV le couple d'entiers ( c , d ) , les t 
octets de poids faible de 1'entier d contenant t 
octets du message, ledit procede utilisant une 
fonction de redondance R, un ensemble possedant une 
structure de groupe d'ordre un nombre premier r, 
d' element zero note 0 et de generateur le point G, la 
cle privee etant un entier positif s inferieur a r et 
la cle publique etant le point W=s.G, caracterise 'en 
ce que le procede de generation de la signature d'un 
message m comporte les 5 etapes suivantes : 

1) Enlever les t octets de poids faible du message 
m et memoriser le resultat dans m' ; calculer 
f = R <m' ) ; 

2) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer V = u . G ; 

3) Associer au point V un entier i et calculer 
c=i+f modulo r ; retourner a l'etape 1) si c=0 ; 

4) Calculer 1'entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2 8t retourner a l'etape 2) ; 

5) La signature est le couple d'entiers (c,d) ; 

et en ce que le procede de verification de la 
signature comporte les 5 etapes suivantes : 
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1) Si c n' appartient pas a 1 ' i n t e r va 1 1 e [l,r-l] ou 
si d n' appartient pas a l'intervalle [0,r-l], la 
signature n'est pas valicle ; 
5 2) Calculer le point P=d.G+c.W ; si P=O f la 

signature n'est pas va.lide ; 

3} Associer au point P l'entier i ; 

4) Calculer l'entier f=c-i modulo r ; 

5) Obtenir 'le message m~' a partir de f et verifier 
10 que f = R(m') ; si ce n'est pas le cas, la signature 

n'est pas valicle ; si c'est le cas, la signature est 
valide et le message m est la concatenation au message 
m' des t octets de poids faible de l'entier d. 

15 6- Procede de pre-traitement de la generation de 
signature selon la r e vendi ca t i on 5 permettant 
d'accelerer la generation des signatures, ledit 
procede comprenant une phase de pre-traitement et une 
phase de generation de la signature, ladite phase de 

20 pre-traitement prenant en entree la cle secrete s et 
consistant a mettre en memoire dans une table un grand 
nombre de valeurs (i, x u ) avec x u =u-s*i modulo r et i 
etant l'entier associe au point V=u.G, de telle sorte 
que ces valeurs puissent etre accedees par le reste de 

25 x u modulo 2 8t , ladite phase de generation de signature 
utilisant une fonction de redondance R, un ensemble 
possedant une structure de groupe d'ordre un nombre 
premier r, d' element zero note O et de generateur le 
point G, la cle privee etant un entier positif s 

30 inferieur a r et la cle publique etant le point W=s.G, 
ladite phase de generation de la signature etant 
caracterise par les 8 etapes suivantes: 
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1) Enlever les t octets de poids faible du message 
m et memoriser le resultat dans m' ; calculer 
f = R ( m ' ) ; les t octets de poids faible du message m 
sont memorises dans l'entier 5. 

2) Calculer l'entier y=s*f modulo r et l'entier 
X~y modulo 2 8t ; 

3) Si y<r/2, executer d'abord .l'etape 4 et ensuite 
l'etape 5, sinon executer d'abord l'etape 5 et ensuite 
l'etape 4 ; 

4) Acceder aux elements de la table dont le reste 
modulo 2 8t est A. + 5 modulo 2 8t et selectionner un element 
tel que x u est superieur ou e g a 1 a y ; si un tel 
element existe, il est supprime de la table et le 
procede passe a l'etape 6) ; 

5) Acceder aux elements de la table dont le reste 
modulo 2 8t est X+5+r modulo 2 8t et selectionner un 
element tel que x u est inferieur a y ; si un tel 
element existe, il est supprime de la table et le 
procede passe a l'etape 6) 

6) Calculer l'entier d= x u -y modulo r ; 

7) Obtenir l'entier i associe a x u et calculer 
c^i+f modulo r ; 

8) La signature est le couple d'entiers (c,d) . 

7- Procede d' amelioration du schema de signature 
avec r econs t i tu t ion partielle du message selon la 
revendica t ion 2, ledit procede comprenant un procede 
de generation de la signature et un procede de 
verification de la signature, ledit procede consistant 
a inclure une partie du message de taille t octets 
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dans l'entier d defini precedemment, t etant un entier 
petit, les t octets de poids faible de l'entier d 
contenant t octets du message, ledit procede utilisant 
une fonction de redondance R, un ensemble possedant 
5 une structure de groupe d'ordre un nombre premier r, 
d' element zero note O .et de generateur le point G, la 
cle privee etant un entier positif inferieur a r et la 
cle publique etant le point W=s.G, caracterise en ce 
que le procede * 'de generation de la signature d'un 
10 message m constitue des messages mi et m 2 comporte les 
6 etapes suivantes • : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 
15 2) Calculer fi=R(mi) ; 

3) Associer au point V un entier i et calculer 
c=i+ fi modulo r ; si c=0, retourner a l'etape 1 ; 

A) Calculer f 2 =H(m 2 ), ou H est une fonction de 
hachage ; 

20 5) Calculer l'entier d = u ~ 1 * ( f 2 + s * c ) modulo r ; si 

d=0 ou si d n'est pas egal a m 2 modulo 2 Bt retourner a 
l'etape 1) ; 

6) La signature est le couple d'entiers (c,d) et 
le message a transmettre est m' 2 consistant en m 2 prive 
25 de ses t octets de poids faible ; 

et en ce que le procede de verification de la 

signature prend en entree une paire d'entiers (c,d) et 

le message partiel m' 2 et comprend les 8 etapes 
30 suivantes: 
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1) Si c n'appartient pas a l'intervalle [1, r-1] ou 
si d n'appartient pas a l'intervalle [l,r-l], la 
signature n'est pas valide ; 

2) Completer m' 2 en m 2 en lui ajoutant les t octets 
de poids faible de d ; 

3) Calculer f 2 = H(m 2 ) , ou H est une fonction de 
hachage ; 

4) Calculer les entiers h= d" 1 modulo r, hi= f 2 *h 
modulo r et h 2 =c*h modulo r ; 

5) Calculer le point P= h x G+ h 2 W ; si P = 0, la 
signature n'est pas valide ; 

6) Associer au point P l'entier i ; 

7) Calculer l'entier fi=c-i modulo r ; 

8) Obtenir le message mi a partir de fi et verifier 
que f i = R (n»i) ; si oui, la signature du message m est 
valide ; sinon, la signature n'est pas valide. 

8- Procede consistant a enlever t octets de la 
chaine d'octets representant l'entier d lorsque la 
signature est le couple d'entiers (c,d) , ledit procede 
comprenant un procede de generation de la signature et 
un procede de verification de la signature, ledit 
procede s'appliquant au schema de signature de Nyberg 
et Rueppel, caracterise en ce que le procede modifie 
de generation de signature comporte les 2 etapes 
suivantes : 



1) Generer la signature 
le schema de signature de 
obtenir le couple d'entiers 



du mes sage 
Nyberg et 
( c , d ) ; 



m en utilisant 
Rueppel , pour 
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2) Calculer d', quotient entier de la division de 
1'entier d par 2 8t ; la signature est le couple 
d'entiers (c,d'J ; 



et en ce que le procede modifie de verification de 
signature prend en entree un couple (c,d') et comport e 
les 5 etapes suivantes : 



1) Si c n'appartient pas a . l'intervalle [l,r-l], 
10 la signature n'est pas valide ; 

2) Calculer le point P = d ' * 2 8 1 . G + c . W ; 

3) Pour j allant de 0 a 2 8t -l, executer les etapes 
suivantes : 

3)a) Si P = 0, executer l'etape 3)d) ; 
15 3)b) Associer au point P 1'entier i et 

calculer 1'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
verifier que f = R ( m ) ; si oui, executer l'etape 5) ; 
3)d) Remplacer P par P + G ; 
20 4) La signature n'est pas valide et le procede est 

t ermine ; 

5) Si 1'entier d=d'+2 8t +j n'appartient pas a 
l'intervalle [0,r-l], la signature n'est pas valide ; 
sinon la signature est valide et le procede est 
25 termine . 

9- Procede consistant a enlever t octets de la 
chaine d'octets representant 1'entier d lorsque la 
signature est le couple d'entiers ( c , d ) , ledit procede 
30 comprenant un procede de generation de la signature et 
un procede de verification de la signature, ledit 
procede au schema de signature avec r ec on s t i t u t i cn 
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partielle du message selon la r e v e n d i ca t i on 2, 
caracterise en ce que le procede modifie de generation 
de signature comporte les 2 etapes suivantes : 



1) Generer la signature du message m en utilisant 
le schema de signature, avec r e con s t i t u t i on partielle 
du message precedemment decrit, pour obtenir le couple 
d'entiers ( c , d ) ; 

2) Calculer d f > quotient' entier de la division de 
l'entier d par 2 8t ; la signature est le couple 
d'entiers ( c , d ' ) ; 



et en ce que le procede modifie de verification de 
signature prend en entree un couple (c,d') et un 
message m 2 et comporte les 2 etapes suivantes : 

1) Pour i allant de 0 a 2 8t -l, calculer l'entier 
d=d'*2 8t +i et executer le procede de verification de 
signature avec r e con s t i t u t i o n partielle du message 
precedemment decrit, la signature a verifier etant 
( c , d ) ; si le procede de verification de signature 
reconnait la signature (c,d) comme valide, la 
signature est valide, et le procede est t ermine ; 

2) La signature n'est pas valide. 

10- Procejde d' amelioration du schema de Nyberg et 
Rueppel permettant d'augmenter de t octets la taille 
des messages a signer, t etant une variable entiere, 
ledit procede comprenant un procede de generation de 
la signature et un procede de verification de la 
signature, ledit procede utilisant une fonction de 
red on dance R, un ensemble possedant une structure ,-Je 
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groupe d'ordre un nombre premier r, d'element zero 
note O et de generateur le point G, la cle privee 
etant un entier positif s inferieur a r et la cle 
publique etant le point W=s.G, caracterise en ce que 
le precede de generation de la signature d'un message 
m comporte les 5 etape.s suivantes : 



1) Generer un nombre aleatoire u et calculer 
V=u.G ; ** " ' 

2) Obtenir le message m' en enlevant au message m 
les t octets de poids faible et calculer f=R(m / ) ; 

3) Associer au point V un entier i et calculer 
c=i+f modulo r ; retourner a l'etape 1) si c=0 ou si i 
n'est pas egal a m modulo 2 8t ; 

4) Calculer d = u - s * c modulo r ; 

5) La signature est la paire d'entiers ( c , d ) ; 

et en ce que le procede de verification de la 
signature comporte les 4 etapes suivantes: 



1) Si c n'appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [0,r-l], la 
signature n'est pas valide ; 

2) Calculer le point P=d.G+c.W; si P=O f la 
signature n'est pas valide ; 

3) Associer au point P l'entier i et calculer 
1' entier f=c-i modulo r ; 

4) Retrouver le message m' a partir de f et 
verifier que f = R(m) ; si oui, retrouver le message m 
en concatenant au message m r les t octets de poids 
faible de i ; la signature du message m est alprs 
valide ; sinon, la signature n'est pas valide. 
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11- Procede d' amelioration du schema de signature 
avec reconstitution partielle du message selon la 
r e vendi ca t i on 2, ledit procede comprenant un procede 
5 de generation de la signature et un procede de 
verification de la signature, ledit procede permettant 
d'augmenter de t octets la taille du message mi 
reconstitue a partir de la signature, t etant une 
variable entie re' , - ledit pr o~c ede utilisant une fonction 

10 de redondance R, un ensemble possedant une structure 
de groupe d'ordre un nombre premier r, d' element zero 
note O et de generateur le point G, la cle privee 
etant un entier positif inferieur a r et la cle 
publique etant le point W=s.G, caracterise en ce que 

15 le procede de generation de la signature d' un message 
m comporte les 6 etapes suivantes : 

1) Generer un entier aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 
20 2) Obtenir m'i en enlevant au message mi les t 

octets de poids faible ; calculer fi=R(m'i) ; 

3) Associer au point V un entier i et calculer 
c = i+ fi modulo r ; si c = 0 ou si i n'est pas egal a m x 
modulo 2 8t ; retourner a 1'etape 1 ; 
25 4) Calculer f 2 = H (m 2 ) , ou H est une fonction de 

h a c h a g e ;, 

5) Calculer 1' entier d=u~ 1 *( f 2 +s*c) modulo r ; si 
d=0, retourner a 1'etape 1 ; 

6) La signature est le couple d'entiers (c,d) ; 



30 



et en ce que le procede de verification de la 
signature prend en entree une paire d'entiers (c,d) &t 
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le message partiel m 2 et comprend les 7 etapes 
suivantes: 

1) Si c n ' appar tien t pas a l'intervalle [l,r-l] ou 
5 si d n' appartient pas a l'intervalle [l,r-l] , la 

signature n'est pas valide ; 

2) Calculer f 2 =H(m 2 ), ou H est une fonction de 
hachage ; 

3) Calculer les en tiers h = d" 1 modulo r, hi= f 2 *h 
10 modulo r et h 2 =c*h modulo r ; 

A) Calculer le point P= hiG + h 2 W; si P = 0, la 
signature n'est pas valide ; 

5) Associer au point P l'entier i ; 

6) Calculer l'entier fi=c-i modulo r ; 

15 7) Obtenir le message rn'i a partir de fi et 

verifier que f i«R (m' i) ; si oui, obtenir mi 1 en 
concatenant au message m' i les t octets de poids faible 
de l'entier i ; la signature du message m est alors 
valide ; sinon, la signature n'est pas valide. 

20 i 

12- Procede de p r e - t r a i t emen t des calculs permettant 
d'augmenter les performances des procedes selon les 
r e vendi ca t i on s 10 et 11, caracterise en ce qu'il 
consiste a mettre en memoire dans une table des 

25 couples d'entiers (u,i) de telle sorte que ces entiers 
soient accessibles par la valeur de i modulo 2 8t , t 
etant un parametre entier. 

13- Procede d' amelioration du schema de signature de 
30 Nyberg et Rueppel consistant a enlever t octets a 

l'entier c, t etant une variable entiere, ledit 
procede comprenant un procede de generation de la 
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signature et un procede de verification de la 
signature, la signature etant constitue du couple 
d'entiers (c,d), caracterise en ce que le procede de 
generation de signature comporte les 2 etapes 
5 suivantes: 



1) Generer la signature du message m en utilisant 
le schema de signature de Nyberg -Rueppel pour obtenir 
le couple d'entiers (c,d) 
10 2) Calculer c', quotient entier de la division de 

1'entier c par 2 8t ; la signature est le couple 
d'entiers (c',d) ; 

et en ce que le procede de verification de signature 
15 prend en entree le couple d'entiers (c',d) et comporte 
les 5 etapes suivantes: 



1) Si d n'appartient pas a 1'intervalle [0,r-l], 
la signature n'est pas valide ; 
20 2) Calculer le point P=d.G+c'* 2 8t .W ; 

3) Pour j allant de 0 a 2 8t -l ; executer les 
etapes suivantes: 

3)a) Si P=0, executer l'etape 3)d) ; 
3)b) Associer au point P 1'entier i et 
25 calculer 1'entier f=c-i modulo r ; 

3)c) Retrouver le message m a partir de f et 
verifier que f=R(m) ; si oui, executer l'etape 
5) ; 

3)d) Remplacer P par P+W ; 
30 A) La signature n'est pas valide et le procede est 

t ermine ; 



3NSOCCID; <WO 011007I3B' ' > 



WO 01/10078 



36 



PCT/FR00/02024 



5) Si rentier c = c' + 2 8t +j n'appartient pas a 
1'intervalle [l,r-l], la signature n'est pas valide, 
sinon la signature est valide et le procede est 
t e rmi ne . 

5 

14- Procede d ' amelioration du schema de signature 
avec recons t i tution partielle du message selon la 
r e vendi ca t i on 2 consistant a enlever t octets de 
l'entier c defihi" selon la revendication 2, t etant 
10 une variable entiere, ledit procede comprenant un 
procede de generation de la signature et un procede de 
verification de la signature, caracterise en ce que le 
procede de generation de signature comprend les deux 
etapes suivantes : 

15 

1) Generer la signature du message m en utilisant 
le schema de signature avec r e con s t i t u t i on partielle 
du message pour obtenir le couple d'entiers (c,d) ; 

2) Calculer c' , quotient entier de la division de 
20 l'entier c par 2 8t ; la signature est le couple 

d'entiers ( c ' , d ) ; 

et en ce que le procede de verification de signature 
prend en entree un couple d'entiers (c',d) et un 
25 message m 2 et comprend les 8 etapes suivantes: 

1) Si d n'appa : rtient pas a 1'intervalle [l,r-l], 
la signature n'est pas valide ; 

2) Calculer f 2 = H(m 2 ), ou H est une fonction de 
30 hachage ; 

3) Calculer les entiers h= d' 1 modulo r, hi= f 2 *h 
modulo r et h 2 = c' + 2 8t + h modulo r ;. 
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4} Calculer le point P= h!.G+ h 2 .W ; 

5) Calculer le point Z=h.W ; 

6) Pour j allant de 0 a 2 8t -l ; executer les 
etapes suivantes: 

6)a) Si P=0, executer l'etape 6)d) 

6)b) Associer au point P l'entier i et 
calculer l'entier fj-c-i modulo r ; 

6)c) Retrouver le message mi a partir de f x et 
verifier que- f j = R ( m i ) ; ~ si oui, executer l'etape 
8 ) ; 

6)d) Remplacer P par P+Z ; 

7) La signature n'est pas valide et le procede est 
t ermine ; 

8) Si l'entier c=c'*2 8t +j n'appartient pas a 
l'intervalle [l,r-l], la signature n'est pas valide, 
sinon la signature est valide et le procede est 
termini . 

15- Procede de modification du schema de signature 
20 avec r e con s t i t u t i on partielle du message selon l'une 
quelconque des r e v e nd i c a t i on s precedentes, caracterise 
en ce qu'il consiste a remplacer la signature (c,d) 
par la signature (h 2 ,d) avec h 2 =c*d" 1 modulo r. 

25 16- Procede d' amelioration du schema de signature de 
Nybe r g-Rueppe 1 , ledit procede comprenant un procede de 
generation de la signature et un procede de 
verification de la signature, ledit procede consistant 
a inclure une partie du message de taille t octets 

30 dans l'entier d, la signature etant le couple 
d'entiers (c,d), t etant un entier petit, les t octets 
de poids faible de l'entier d contenant t octets du 
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message, ledit procede utilisant un ensemble possedant 
une structure de groupe d'ordre un nombre premier r, 
d'element zero note O et de generateur le point G, la 
cle privee etant un entier positif s inferieur a r et 
5 la cle publique etant le point W=s.G, caracterise en 
ce que le procede de generation de la signature d'un 
message m utilisant les parametres entiers t, a, et k 
et comporte les 7 etapes suivantes : 

10 1) Calculer h=H(m), H etant une fonction de 

hachage; 

2) Enlever les t octets de poids faible et les k 
octets de poids fort du message m et memoriser le 
resultat dans m ' ; 
15 3) Memoriser dans f le resultat de la 

concatenation a m ' des a octets de poids fort de h ; 

4) Generer un nombre aleatoire u compris entre 1 
et r-1 et calculer V=u.G ; 

5) Associer au point V un entier i et calculer 
2 0 c=i+f modulo r ; retourner a 1'etape 4) si c=0 

6) Calculer 1' entier d=u-s*c modulo r ; si d n'est 
pas egal a m modulo 2 8t retourner a 1'etape 4 ) ; 

7) La signature est le couple d' entiers (c,d) ; 

25 et en ce que le procede de verification de la 
signature comporte les 7 etapes suivantes : 

1) Si c n' appartient pas a l'intervalle [l,r-l] ou 
si d n'appartient pas a l'intervalle [0,r-l], la 

30 signature n'est pas valide ; 

2) Calculer le point P=d.G+c.W ; si P=0, la 
signature n'est pas valide ; 
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3) Associer au point P rentier i ; 

4) Calculer l'entier f = c-i modulo r ; 

5) Concatener au message m' , obtenu a partir de f 
en enlevant les a octets de poids faible, les t octets 
de poids faible de d ; 

6) Pour b allant- de 0 a 2 8k -l repeter 1'etape 
s u i van t e : 

6)a) Concatener a b le message m' pour obtenir 
m et calculer h=H(m) ; verifier que les a octets 
de poids fort de h et les a octets de poids 
faible de f sont identiques ; si oui, la signature 
du message m est valide et le procede est 
t ermine / 

7) La signature n'est pas valide. 

17- Procede de generation et de verification de 
signature electronique selon l'une quelconque des 
revendications precedentes caracterise en ce que les 
operations s'effectuent sur une courbe elliptique 
formant une structure de groupe et possedant au moins 
un point G, qui est generateur d'un sous-groupe 
d'ordre un nombre premier r. 

18- Procede de generation et de verification de 
signature electronique selon l'une quelconque des 
revendications precedentes caracterise en ce que les 
operations s'effectuent dans le groupe multiplicatif 
des entiers modulo un nombre premier p. 

19- Procede de generation et de verification de 
signature electronique selon l'une quelconque des 
revendications precedentes caracterise en ce que les 
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operations s'effectuent dans un sous-groupe 

mu 1 t i pi i c a t i f d'ordre un entier premier r du groupe 
multiplicatif des entiers modulo un nombre premier p 
avec r divisant p-1. 

5 

20- Dispositif elect- ronique selon l'une 
des r e vendica t i ons precedentes caracterise 
le dispositif effectuant le test est un 
portable. 

10 

21- Dispositif electronique selon l'une 
des r e vendi ca t i on s precedentes caracterise 
le dispositif est une carte a puce. 

15 22- Dispositif electronique selon l'une 
des r e vendi ca t i on s precedentes caracterise 
le dispositif est une carte sans contact. 

23- Dispositif electronique selon l'une 
20 des re vendica t ions precedentes caracterise 

le dispositif est une carte PCMCIA. 

24- Dispositif electronique selon l'une 
des revendica tions precedentes caracterise 

25 le dispositif est un badge. 

25- Dispositif electronique selon l'une quelconque. 
des r e vendi ca t i on s precedentes caracterise en ce que 
le dispositif est une montre i n t e 1 1 i gen t e . 



quel conque 
en ce que 
di spos i t i f 

quelconque 
en ce que 

quelconque 
en ce que 

quelconque 
en ce que 

quelconque 
en ce que 
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